โปรแกรมติดตั้ง ESET ปลอม คืออาวุธใหม่ของกลุ่มแฮ็กเกอร์มุ่งเป้ายูเครน!

1. บริบทและที่มาของผลิตภัณฑ์ ESET ที่ถูกแอบอ้าง
    •    ESET คือใคร?: ESET, s.r.o. เป็นบริษัทซอฟต์แวร์ความปลอดภัยทางไซเบอร์จาก สโลวาเกีย (ยุโรป) ก่อตั้งขึ้นตั้งแต่ปี 1992 และเป็นที่รู้จักจากผลิตภัณฑ์แอนตี้ไวรัส NOD32
    •    ทำไมต้อง ESET?: ESET เป็นบริษัทที่มีความน่าเชื่อถือสูงและมีการใช้งานอย่างกว้างขวางในหลายประเทศทั่วโลก รวมถึงในยูเครน การแอบอ้างชื่อบริษัทที่มีชื่อเสียงเช่นนี้จะสร้างความเชื่อมั่นอย่างสูงให้กับเหยื่อ ทำให้พวกเขายอมติดตั้งซอฟต์แวร์โดยไม่ลังเล
    •    กลยุทธ์ของอาชญากร: กลุ่มผู้คุกคามชื่อ InedibleOchotense (ซึ่ง ESET ประเมินว่าเชื่อมโยงกับรัสเซีย) ได้ใช้กลยุทธ์ Spear-Phishing (ฟิชชิงแบบเจาะจง) โดยส่งอีเมลหรือข้อความ Signal อ้างว่าทีม ESET ตรวจพบอันตรายในเครื่องของเหยื่อ และกระตุ้นให้รีบติดตั้ง "โปรแกรมติดตั้ง ESET" ที่เป็นอันตรายจากเว็บไซต์ปลอม เช่น esetscanner[.]com

2. ภัยคุกคามที่ซ่อนอยู่: มัลแวร์ Kalambur Backdoor
    •    สิ่งที่ติดตั้ง: โปรแกรมติดตั้งปลอมนี้ไม่ได้มีแค่ซอฟต์แวร์กำจัดไวรัสของ ESET ที่ถูกต้องตามกฎหมาย (ESET AV Remover) เท่านั้น แต่ยังติดตั้ง Kalambur Backdoor (หรือ SUMBUR) ควบคู่กันไปด้วย
    •    อันตรายร้ายแรง: Kalambur เป็นประตูหลัง (Backdoor) ที่สามารถเปิดช่องทางให้ผู้โจมตีเข้าควบคุมเครื่องจากระยะไกลได้ โดยใช้เครือข่ายอำพรางตัวตนอย่าง Tor สำหรับการสื่อสารสั่งการ (C&C) และเปิดใช้ Remote Desktop Protocol (RDP) เพื่อให้แฮ็กเกอร์สามารถเข้าถึงเครื่องของเหยื่อได้อย่างเต็มที่

3. ความน่าจะเป็นและความเชื่อมโยงกับกลุ่มแฮ็กเกอร์รัฐ
    •    การเชื่อมโยงทางภูมิรัฐศาสตร์: รายงานนี้ไม่ได้เป็นเพียงการโจมตีทางอาชญากรรมทั่วไป แต่ ESET เชื่อว่ากลุ่ม InedibleOchotense มีความเกี่ยวพันกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย โดยเฉพาะกลุ่มที่น่ากลัวอย่าง Sandworm (APT44) ซึ่งมีประวัติการโจมตีโครงสร้างพื้นฐานสำคัญและการทำลายข้อมูลในยูเครนด้วยมัลแวร์ประเภท Wiper
    •    ความรุนแรง: การโจมตีนี้มุ่งเป้าไปที่หน่วยงานสำคัญของยูเครน สะท้อนให้เห็นว่าการโจมตีทางไซเบอร์ได้กลายเป็นส่วนสำคัญของการสู้รบในภูมิภาค โดยมีวัตถุประสงค์เพื่อทำลายข้อมูล (Destructive Campaign) และล้วงข้อมูล (Espionage)

🛡️ แนวทางการป้องกันตัวจากภัยคุกคามลักษณะนี้

ภัยคุกคามจากการปลอมแปลงโปรแกรมติดตั้งของบริษัทความปลอดภัยคือความเสี่ยงสูงสุด เพราะมันโจมตีที่ "ความไว้ใจ" ดังนั้นจึงควรป้องกันด้วยมาตรการดังนี้:

    1.    ดาวน์โหลดจากแหล่งที่มาทางการเท่านั้น (Official Source Only):
        o    ห้าม คลิกดาวน์โหลดโปรแกรมรักษาความปลอดภัย (หรือโปรแกรมอื่น ๆ) จากลิงก์ในอีเมล, ข้อความแชท (Signal, Line, WhatsApp) หรือเว็บไซต์ที่ไม่ได้เป็นของบริษัทโดยตรง
        o    ถ้าต้องการติดตั้งหรืออัปเดต ให้เข้าสู่เว็บไซต์ eset.com หรือเว็บไซต์ทางการของผลิตภัณฑ์นั้น ๆ โดยพิมพ์ชื่อเว็บไซต์ด้วยตนเองในแถบที่อยู่ของเบราว์เซอร์
        o    ตรวจสอบชื่อโดเมนให้ถูกต้อง 100% (เช่น esetsmart[.]com คือโดเมนปลอมที่ถูกใช้ในการโจมตีนี้)
    2.    ตรวจสอบการสื่อสาร (Verify Communications):
        o    อีเมลแจ้งเตือนความปลอดภัยที่กระตุ้นให้รีบดำเนินการมักเป็นสัญญาณของการโจมตีฟิชชิง
        o    หากได้รับอีเมลจากบริษัทความปลอดภัย ให้โทรศัพท์ติดต่อไปยังสายด่วนบริการลูกค้าอย่างเป็นทางการของบริษัทนั้น ๆ เพื่อยืนยันว่าการแจ้งเตือนนั้นเป็นของจริงหรือไม่ ก่อน ดำเนินการใด ๆ
    3.    ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA):
        o    เปิดใช้งาน MFA สำหรับบัญชีสำคัญทั้งหมด เพื่อป้องกันไม่ให้ผู้โจมตีสามารถเข้าสู่ระบบได้ แม้ว่าพวกเขาจะขโมยชื่อผู้ใช้และรหัสผ่านไปได้แล้วก็ตาม
    4.    อัปเดตระบบและโปรแกรม (Keep Software Updated):
        o    ภัยคุกคามอื่น ๆ ในรายงานนี้ยังรวมถึงการใช้ช่องโหว่ WinRAR Zero-Day ดังนั้นการอัปเดตระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดอยู่เสมอจะช่วยปิดช่องโหว่ที่ผู้โจมตีใช้เป็นช่องทางแรกในการเข้าสู่ระบบ

Ref: https://thehackernews.com/2025/11/trojanized-eset-installers-drop.html